Configurez Field Network Director pour utiliser Plug-and-Play sur IR800

Introduction

Ce document décrit comment démarrer avec Field Network Director (FND) et Plug and Play (PNP) avec l'utilisation d'un ensemble minimal de composants.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Expérience de Linux et connaissances pour éditer des fichiers de configuration d'exécution sur une machine Linux
• Au moins un des routeurs pris en charge doit être géré par FND. Par exemple, IR809 ou IR829.
  • Accès console
  • IOS® version 15.7(3)M1 minimum
• Fichier OVA déployé sur un hyperviseur (par exemple : VMware ESXi). Le fichier OVA, s'il est autorisé, peut être téléchargé à l'adresse suivante : https://software.cisco.com/download/home/286287993/type/286320249

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Fichier OVA pour FND version 4.5.0-122 (CISCO-IOTFND-V-K9-4.5.0-122.zip)
• VMware ESX
• IR809 avec IOS® version 15.8(3)M2

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Étant donné que FND dispose de nombreuses options de déploiement différentes, l'objectif est de pouvoir configurer une installation minimale mais fonctionnelle pour FND. Cette configuration peut alors servir de point de départ pour une personnalisation plus poussée et pour ajouter d'autres fonctionnalités. La configuration expliquée ici utilise l'installation FND de type Open Virtual Appliance (OVA) comme point de départ et utilise le mode facile afin d'éviter le besoin d'une infrastructure à clé publique (PKI) et d'un provisionnement de tunnel. Utilisez PNP afin de simplifier et d'ajouter des périphériques à l'installation.

Le résultat de ce guide n'est pas destiné à être utilisé en production, car il peut y avoir des risques de sécurité en raison du mot de passe de plan-text et de l'absence de tunnels et d'ICP.

  

Configurer

Déployer et configurer l'OVA FND

Étape 1 : téléchargement et déploiement du fichier FND OVA sur votre hyperviseur Par exemple, pour VMWare, cela se fera par Fichier > Déployer le modèle OVF comme indiqué dans l'image.

Étape 2. Une fois déployé, vous pouvez démarrer la machine virtuelle et un écran de connexion s'affiche, illustré dans l'image.

Les mots de passe par défaut du fichier OVA sont les suivants :

• username (nom d’utilisateur) : mot de passe racine : cisco123
• username (nom d’utilisateur) : cisco password : C_sco123

Étape 3. Connectez-vous avec l’utilisateur et le mot de passe cisco et accédez à Applications > System Tools > Settings > Network. Ajoutez un profil filaire et, dans l’onglet IPv4, définissez l’adresse IP ou le DHCP souhaité, comme indiqué dans l’image.

Étape 4. Cliquez sur Apply et activez/désactivez la connexion afin de vous assurer que les nouveaux paramètres sont appliqués.

À ce stade, vous devriez être en mesure de naviguer vers l'interface utilisateur graphique FND avec votre navigateur et l'adresse IP configurée comme indiqué dans l'image.

Étape 5. Connectez-vous à l’interface utilisateur graphique à l’aide du nom d’utilisateur et du mot de passe par défaut : racine/racine123

Vous êtes invité à modifier immédiatement votre mot de passe, puis à vous reconnecter.

Si tout se passe bien, vous devriez pouvoir vous connecter avec votre nouveau mot de passe et naviguer dans l'interface utilisateur graphique de FND.

En outre, les modes PNP et de démonstration sont décrits, suivis de la configuration de FND.

À propos de PNP

PNP est la méthode la plus récente de Cisco pour effectuer un déploiement automatique (ZTD). Avec l'utilisation de PNP, un périphérique peut être entièrement configuré et la nécessité de toucher la configuration manuellement ne se présentera pas.

Pour FND, avec l'utilisation de PNP, la nécessité de démarrer le routeur est évitée. En fait, tout ce que PNP fait, le redirige vers le FND, de manière sécurisée, et récupère la configuration bootstrap.

Une fois la configuration bootstrap présente dans le périphérique, le reste du processus se poursuit comme avec un périphérique bootstrap classique.

Il existe différentes manières d'utiliser le protocole PNP :

• Via le service Cisco PNP (devicehelper.cisco.com), avec l'utilisation d'un compte Smart. Activé par défaut hors usine sur certains périphériques
• Avec l'utilisation de l'option DHCP 43 afin de fournir l'IP ou le nom d'hôte auquel se connecter pour l'amorçage
• En définissant manuellement le serveur PNP dans la configuration

Pour cette configuration, l'adresse IP du serveur PNP est définie manuellement, c'est-à-dire l'adresse IP et le port du serveur FND sur le périphérique. Si vous souhaitez effectuer cette opération avec DHCP, vous devez fournir les informations suivantes :

Pour Cisco IOS®, le serveur DHCP doit être configuré comme suit :

ip dhcp pool pnp_pool
network 192.168.10.0 255.255.255.248
default-router 192.168.10.1
dns-server 8.8.8.8
option 43 ascii "5A;K4;B2;I10.48.43.231;J9125"
!

Pour DHCPd sur Linux : 

[jedepuyd@KJK-SRVIOT-10 ~]$ cat /etc/dhcp/dhcpd.conf
subnet 192.168.100.0 netmask 255.255.255.0 {

option routers 192.168.100.1;
range 192.168.100.100 192.168.100.199;
option domain-name-servers 192.168.100.1;
option domain-name "test.dom";
option vendor-encapsulated-options "5A;K4;B2;I10.48.43.231;J9125";
}

Dans cette configuration pour l'option 43 ou vendor-encapsulated-options, vous devez spécifier les chaînes ASCII suivantes :

"5A;K4;B2;I10.50.215.252;J9125"

Il peut être adapté comme suit :

• 5 - Code de type DHCP 5
• A - Code d'opération de fonction active
• K4 : protocole de transport HTTP
• B2 - Serveur Plug-and-Play/serveur TPS/FND Le type d'adresse IP est IPv4
• I10.48.43.231 - Adresse IP du serveur FND
• J9125 - Numéro de port 9125 (port pour PNP sur le serveur FND)

Pour plus d'informations sur le protocole PNP avec DHCP, consultez le site : https://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/iot_fnd/guide/4_3/iot_fnd_ug4_3/sys_mgmt.html#31568 dans la section : Configurer DHCP Option 43 sur le serveur DHCP Cisco IOS®

À propos de EasyMode

Le mode facile a été introduit depuis FND 4.1, bien qu'il ait été appelé mode démo à l'époque, et vous permet d'exécuter FND d'une manière moins sécurisée. Bien que cela ne soit pas recommandé pour la production, c'est un bon moyen de commencer.

Avec l'utilisation du mode facile, vous pouvez vous concentrer sur le processus PNP, l'amorçage et la configuration du routeur. Dans le cas où quelque chose ne fonctionne pas, vous n'avez pas besoin de suspecter la construction du tunnel ou les certificats.

Modifications qui se produisent lorsque vous configurez FND pour qu'il s'exécute en mode facile :

• Pas besoin de routeur de tête de réseau (HER) ou de tunnel vers le serveur FND.
• Pas besoin de configuration d'infrastructure à clé publique (PKI) et de protocole SCEP (Simple Certificate Enrollment Protocol).
• Aucun besoin de certificats de routeur, de point de confiance et de certificats SSL.
• Toutes les communications s'effectuent via HTTP et non HTTPS.

Pour plus d'informations sur le mode facile, cliquez ici :

https://www.cisco.com/c/en/us/td/docs/routers/connectedgrid/iot_fnd/guide/4_1_B/iot_fnd_ug4_1_b/device_mgmt.html#85516

Configurer FND pour PNP et Easy Mode

Maintenant, vous savez ce qu'est le mode démo/PNP et pourquoi il est utilisé dans ce contexte. Modifions la configuration FND afin de l'activer :

Sur la machine virtuelle FND, qui provient du fichier OVA, connectez-vous à SSH et modifiez le fichier cgms.properties comme suit :

[root@iot-fnd ~]# cat /opt/fnd/data/cgms.properties
cgms-keystore-password-hidden=dD5KmzJHa64Oyvpqdu8SCg==
use-router-ip-from-db=true
rabbit-broker-ip=
rabbit-broker-port=
rabbit-broker-username=
rabbit-broker-password=
fogd-ip=192.68.5.3
enable-reverse-dns-lookup=false
enableApiAuth=false
fnd-router-mgmt-mode=1
enable-bootstrap-service=true
proxy-bootstrap-ip=10.48.43.231

Les trois dernières lignes ont été modifiées dans le fichier de configuration.

• Ligne 10 : active le mode facile
• Ligne 11 : active PNP
• Ligne 12 : définit l'adresse IP du serveur FND à contacter

Après avoir modifié le fichier, redémarrez le conteneur FND afin d'adapter les modifications apportées :

[root@iot-fnd ~]# /opt/fnd/scripts/fnd-container.sh restart
Stopping FND container...
fnd-container
[root@iot-fnd ~]# Starting FND container...
fnd-container

Une fois redémarré, le reste de la configuration peut être effectué à l'aide de l'interface utilisateur graphique.

Préparation du fichier CSV et ajout du routeur à FND

Il peut sembler un peu illogique d'ajouter le périphérique à ce stade du processus de configuration, mais malheureusement, certaines parties de la configuration ne sont pas disponibles tant que certains types de périphériques n'ont pas été ajoutés.

Ceci est fait afin d'éviter que l'interface utilisateur graphique soit trop encombrante car différents périphériques introduisent différentes options.

Ici, essayons d'ajouter un IR809 à FND.

Le CSV se présente comme suit :

deviceType,eid,adminUsername,adminPassword,ip
ir800,IR809G-LTE-GA-K9+JMX2022X04S,fndadmin,C1sc0123!,10.48.43.250

Les champs du fichier CSV sont les suivants :

• deviceType : ir800
• eid : PID et série avec +
• adminUsername : ce nom d’utilisateur sera ajouté à la configuration du routeur et sera utilisé ultérieurement pour terminer le processus d’enregistrement
• adminPassword : password for adminUsername
• ip : L'adresse IP à remplacer dans la configuration du périphérique après le déploiement

Afin d'ajouter ce périphérique, connectez-vous à l'interface graphique et naviguez à Périphériques > Périphériques de terrain > Inventaire > Ajouter des périphériques comme indiqué dans l'image.

Dans la boîte de dialogue, spécifiez l'emplacement de votre fichier CSV et cliquez sur Add pour l'ajouter à FND comme indiqué dans l'image.

Si tout se passe bien, vous devriez voir l'élément d'historique pour lister « TERMINÉ ». Une fois la boîte de dialogue fermée, le périphérique doit apparaître dans l'inventaire, comme illustré dans l'image.

Depuis l'ajout du périphérique de type ir800, les modèles et groupes applicables seront disponibles dans l'interface utilisateur graphique à ce stade.

Préparation des paramètres de mise en service, du modèle de démarrage et du modèle de configuration

Étant donné que FND est configuré pour le mode démo, il est nécessaire de modifier l'URL d'approvisionnement pour utiliser HTTP à la place. Accédez à Admin > Provisioning Settings afin de le faire :

Remplacez l'URL IoT-FND par http://<FND IP>:9121

Configurez ensuite deux modèles minimaux pour le démarrage et la configuration.

Le premier, appelé Router Bootstrap Configuration template, est la configuration qui est poussée vers le routeur une fois qu'il est en mesure de contacter FND avec succès avec l'utilisation de PNP.

Si le protocole PNP n'est pas utilisé, il s'agit de la configuration qui est placée sur le routeur manuellement ou en usine au moment du processus d'amorçage. Cette configuration contient juste assez d'informations pour que le routeur démarre le processus d'enregistrement dans FND.

Le second, appelé modèle de configuration, est la configuration qui est ajoutée à la configuration en cours du périphérique. En fait, il peut être considéré comme un incrément de la configuration existante.

Dans la plupart des cas, cela conduit à une situation étrange, il est donc recommandé d'effacer d'abord toutes les configurations sur le routeur avant de l'ajouter à FND.

Afin de définir le modèle Router Factory Reprovision, accédez à Configure > Tunnel Provisioning > Router Bootstrap Configuration et remplacez-le par le modèle suivant :

<#if isBootstrapping = true>
<#assign mgmtintf = "GigabitEthernet0">
<#assign fndserver = "10.48.43.231">
<#assign sublist=far.eid?split("+")[0..1]>
<#assign pid=sublist[0]>
<#assign sn=sublist[1]>
 
<#-- General parameters  --> 
hostname ${sn}BS
ip domain-name ${sn}
ip host fndserver.fnd.iot ${fndserver}
service timestamps debug datetime msec localtime show-timezone 
service timestamps log datetime msec localtime show-timezone
!
<#-- Users  --> 
username backup privilege 15 password C1sc0123!
username ${far.adminUsername} privilege 15 password ${far.adminPassword}
!
<#-- Interfaces  -->
interface ${mgmtintf}
  ip address ${far.ip} 255.255.255.192
exit
!
<#-- Clock  -->
clock timezone UTC +2
!
<#-- Archive  -->
file prompt quiet
do mkdir flash:archive
archive
  path flash:/archive
  maximum 8
exit
!
<#-- HTTP -->
ip http server
ip http client connection retry 5
ip http client connection timeout 5
ip http client source-interface ${mgmtintf}
ip http authentication local
ip http timeout-policy idle 600 life 86400 requests 3
ip http max-connections 2
!
<#-- WSMA -->
wsma profile listener exec 
  transport http path /wsma/exec
exit 
!
wsma profile listener config 
  transport http path /wsma/config 
exit
! 
wsma agent exec
  profile exec
exit 
!
wsma agent config 
  profile config 
exit
!
<#-- CGNA -->
cgna gzip
!
cgna profile cg-nms-register 
  add-command show hosts | format flash:/managed/odm/cg-nms.odm
  add-command show interfaces | format flash:/managed/odm/cg-nms.odm
  add-command show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
  add-command show ipv6 interface | format flash:/managed/odm/cg-nms.odm
  add-command show platform hypervisor | format flash:/managed/odm/cg-nms.odm
  add-command show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
  add-command show iox host list detail | format flash:/managed/odm/cg-nms.odm
  add-command show version | format flash:/managed/odm/cg-nms.odm
  interval 10
  url http://fndserver.fnd.iot:9121/cgna/ios/registration
  gzip
  active
exit
!
<#-- Script to generate RSA for SSH -->
event manager applet genkeys
  event timer watchdog name genkeys time 30 maxrun 60
    action 10 cli command "enable"
    action 20 cli command "configure terminal"
    action 30 cli command "crypto key generate rsa modulus 2048"
    action 80 cli command "no event manager applet genkeys"
    action 90 cli command "exit"
    action 99 cli command "end"
exit

end
</#if>

Afin de définir le modèle de configuration. Accédez à Config > Device Configuration > Edit Configuration Template et ajoutez ce modèle :

<#-- Enable periodic inventory notification every 1 hour to report metrics. -->
    cgna profile cg-nms-periodic
      interval 60
    exit
<#-- Enable periodic configuration (heartbeat) notification every 15 min. -->
   cgna heart-beat interval 15

<#-- Enable SSH access -->
line vty 0 4
  transport input ssh
  login local
exit

Ce modèle sera la configuration en cours du routeur résultant. Par conséquent, toute configuration spécifique pour ce groupe de configuration doit être ajoutée ici.

Le plus simple est de commencer avec ce modèle minimal. Une fois que vous avez réussi, mettez à jour et personnalisez le modèle en fonction de vos besoins.

À ce stade, la configuration/préparation de FND est terminée et vous pouvez commencer par préparer le routeur.

Préparation de l'IR800 pour le provisionnement/PNP

Si le périphérique que vous souhaitez provisionner contient déjà une configuration ou a déjà été utilisé, il est préférable d'effacer complètement la configuration du routeur avant de l'ajouter à FND avec PNP.

Évidemment, s'il s'agit d'un nouveau périphérique, cette étape peut être ignorée.

La façon la plus simple de faire ceci est avec l'utilisation de la commande write erase et rechargez le routeur avec l'utilisation de la console.

ir809kjk#write erase
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
*Oct 18 11:42:54.367 UTC: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
ir809kjk#reload

System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]

Starting File System integrity check
NOTE: File System will be deinited and later rebuilt

Au bout d'un certain temps, le routeur IR800 doit revenir avec l'invite d'exécution de la boîte de dialogue de configuration initiale :

         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no


Press RETURN to get started!

Assurez-vous qu'il ne reste plus de traces d'une précédente tentative PNP/ZTD, il est préférable de recréer l'archive et le répertoire et de supprimer également la before-registration-config sur le routeur :

IR800#delete /f before-*
IR800#delete /f /r archive*
IR800#mkdir archive
Create directory filename [archive]?
Created dir flash:/archive
IR800#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
IR800(config)#archive
IR800(config-archive)#path flash:/archive
IR800(config-archive)#maximum 8
IR800(config-archive)#end

À l'heure actuelle, vous disposez soit d'un nouveau périphérique, soit d'un périphérique dont la configuration est vide. Par conséquent, si nécessaire, il s'agit du moment où une configuration minimale peut être appliquée pour que le routeur atteigne FND.

Dans le cas où vous avez un serveur DHCP, la plupart de cela devrait aller automatiquement. 

La configuration manuelle suivante est sélectionnée sur le périphérique :

IR800>enable
IR800#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
IR800(config)#int gi0
IR800(config-if)#ip addr dhcp
IR800(config-if)#no shut
IR800(config-if)#end
*Aug 1 12:02:02.887: %SYS-5-CONFIG_I: Configured from console by console

IR800#ping 10.48.43.231
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.48.43.231, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
IR800#

Comme vous le voyez, une requête ping rapide a été exécutée afin de tester si le routeur a pu atteindre FND avec la configuration IP appliquée.

Configuration du routeur IR800

À ce stade, toutes les conditions préalables sont remplies et vous pouvez lancer le processus PNP. Elle est effectuée manuellement dans ce cas.

Dans un environnement de production, le protocole PNP sera très probablement utilisé avec l’option DHCP 43. Cela signifie qu’une fois le routeur démarré, il reçoit une configuration IP et PNP et que vous pouvez ignorer cette étape et la suivante.

Afin de configurer manuellement le protocole PNP sur l'IR800 sans DHCP, vous devez spécifier la destination des requêtes, qui sera le serveur FND.

Cela peut se faire comme suit :

IR800(config)#pnp profile pnp-zero-touch
IR800(config-pnp-init)#transport http ipv4 10.48.43.231 port 9125
IR800(config-pnp-init)#end

Dès que vous entrez la ligne commençant par « transport », le routeur lance le processus PNP et tente de contacter FND sur l'adresse IP et le port donnés.

Si tout se passe bien, le périphérique passe par les étapes suivantes :

• [UPDATING_ODM] : Mettre à jour les fichiers ODM (Operational Data Model) sur le périphérique pour qu'ils correspondent à ceux valides pour la version FND actuelle
• [UPDATING_ODM_VERIFY_HASH] : vérifier si les fichiers mis à jour sont corrects
• [MISE À JOUR_ODM]
• [INVENTAIRE_COLLECTE] : collecter la configuration actuelle et les informations sur le périphérique
• [INVENTAIRE_COLLECTÉ]
• [CONFIGURATION_VALIDATION] : essayez d'appliquer la configuration à partir de la configuration des données d'amorçage (modèle substitué de reconfiguration d'usine du routeur)
• [CONFIGURATION_VALIDÉE]
• [FICHIER_CONFIG_BOOTSTRAP_PUSHING] : appliquer la configuration validée
• [PUSHING_BOOTSTRAP_CONFIG_VERIFY_HASH] : vérifier si la configuration appliquée est correcte
• [FICHIER_CONFIG_AMORÇAGE_POUSSÉ]
• [CONFIGURING_STARTUP_CONFIG] : écrivez la configuration en tant que configuration de démarrage
• [CONFIGURED_STARTUP_CONFIG]
• [CONFIGURATION_APPLICATION] : application de la configuration initiale
• [CONFIGURATION_APPLIQUÉE]
• [TERMINATING_BS_PROFILE] : arrêtez le bootstrap.

Vous pouvez suivre le processus dans le fichier FND server.log.

Dans l'interface graphique utilisateur, vous verrez le périphérique se déplacer lorsque vous naviguez vers Unheard > Boostrapping > Bootstrapped

Une fois l'amorçage terminé, le routeur dispose du modèle de réapprovisionnement d'usine de routeur substitué et se comporte comme un périphérique amorcé normal sans PNP.

En d'autres termes, un profil CGNA sur l'IR800 tente de s'enregistrer auprès du serveur FND.

Vérifiez l'état du profil CGNA :

JMX2022X04SBS#sh cgna profile-state all
Profile 1:
Profile Name: cg-nms-register
Activated at: Thu Aug  1 15:31:14 2019
URL: http://fndserver.fnd.iot:9121/cgna/ios/registration
Payload content type: xml
Interval: 10 minutes
gzip: activated
Profile command:
    show hosts | format flash:/managed/odm/cg-nms.odm
    show interfaces | format flash:/managed/odm/cg-nms.odm
    show ipv6 dhcp | format flash:/managed/odm/cg-nms.odm
    show ipv6 interface | format flash:/managed/odm/cg-nms.odm
    show platform hypervisor | format flash:/managed/odm/cg-nms.odm
    show snmp mib ifmib ifindex | format flash:/managed/odm/cg-nms.odm
    show iox host list detail | format flash:/managed/odm/cg-nms.odm
    show version | format flash:/managed/odm/cg-nms.odm
State: Wait for timer for next action
Timer started at Thu Aug  1 15:31:14 2019
Next update will be sent in 9 minutes 30 seconds
Last successful response not found
Last failed response not found

Avec la configuration fournie, le périphérique essaiera de s'enregistrer auprès de FND après dix minutes. Vous pouvez voir que dans ce résultat, il reste neuf minutes et trente secondes avant que le routeur commence le processus d'enregistrement.

Vous pouvez soit attendre que le minuteur se termine, soit exécuter manuellement le profil cg-nms-register immédiatement :

IR800-Bootstrap#cgna exec profile cg-nms-register

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Le périphérique doit passer à l'état UP dans FND, comme illustré dans l'image.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Afin de dépanner le processus d'amorçage, vérifiez les points suivants :

• Connexion au serveur FND : /opt/fnd/logs/server.log
• Augmentez le niveau de détail de la connexion : Admin > Logging > Log Level Settings > Router Bootstrapping > Debug
• À partir de la console IR800 : show pnp ? ou debug pnp ?
• Dans l'interface utilisateur FND : Périphériques > Inventaire > Sélectionner un périphérique > Événements
• La plupart des problèmes rencontrés à cette étape sont liés à des erreurs (de syntaxe) dans le modèle de reprovisionnement d'usine du routeur

Afin de dépanner le processus d'enregistrement, vérifiez les points suivants :

• Connexion au serveur FND : /opt/fnd/logs/server.log
• À partir de la console IR800 :
  
  
  • show cgna profile-state all
  • debug cgna logging ?
  • debug wsma agent
• Dans l'interface utilisateur FND : Périphériques > Inventaire > Sélectionner un périphérique > Événements
• Vérifiez la connectivité WSMA via HTTP vers l'IR800 à partir de la machine virtuelle FND
  
  • URI utilisé par FND : http://10.48.43.231:80/wsma/exec
  • Méthode : POST
  • Sécurité: authentification de base